Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

JarJar világuralomra tör?

2007.11.10. 15:06 | buherator | Szólj hozzá!

Már február óta ismert a Firefox egy olyan sebezhetősége, amely lehetővé teszi, hogy perzisztens XSS-et hajtsunk végre bármely site-on, ami engedélyezi felhasználói számára .zip fájlok feltöltését. A hiba a jar: protokolkezelő megvalósításában van, a probléma forrása lényegében az, hogy a böngésző külső tartományról származó kódot hajlandó futtatni az aktuális tartományon.
A hibára három napja pdp hívta fel újra a figyelmet, hangsúlyozandó annak kritikus voltát. Ma pedig beford jelentetett meg egy elég impresszív PoC kódot, ami kiolvassa a látogató Google kontaktlistáját (amennyiben be van jelentkezve), ezzel rávilágítva arra, hogy azok az oldalak is veszélyben vannak, akik nyílt átirányítást (?redirect=url) alkalmaznak - így ugyanis el lehet hitetni a böngészővel, hogy a .jar az átírányító oldalról (pl. Google) származik. A problémát tovább súlyosbítja, hogy a NoScript egyelőre nem véd az ilyen támadások ellen (bár a fejlesztői verzióba már berakták az új fícsört), valamint az antivírus programoknak is sok fejtörést lehet okozni pl. több .jar fájl egymásba ágyazásával, de érdekes támadási lehetőségeket rejt az is, hogy az OpenOffice .odt, valamint a Microsoft Office 2007 .doc formátuma a .jar-hoz hasonlóan a .zip formátumra épül.
A Mozillának csipkednie kell magát, ha be akarja tartani a szavát a "tíz kiba* nappal" kapcsolatban. Szigorú értelemben véve már el is késtek jócskán...

Tudom ajánlani az Opera böngészőt, amíg kijön a patch. Nem annyira fullos mint a Firefox, de jobb mint az Explorer, és nincs rá annyi hiba.

Update: Ma kijött a NoScript 1.1.8 "JAR Jammer", ami nevének megfelelően kiszűri ezeket a támadásokat. Nekem minden esetre már kezd kicsit fájdalmassá válni, hogy annyi bugot találnak a Firefoxban, hogy nem győzöm őket kiposztolni...

Címkék: firefox jar

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.